1.1 使用终端服务网关访问终端服务

终端服务网关(TS 网关)是这样一种类型的网关,它允许授权用户使用 Internet 连接从任何计算机连接到企业网络上的远程计算机。TS 网关使用远程桌面协议 (RDP) 和 HTTPS 帮助创建更安全的加密连接。

以下将会演示在Research计算机上安装终端服务网关角色,Workgroup计算机使用终端服务网关Research访问到内网的终端服务FileServer以及启用了远程桌面的DCServer和ProfileServer。需要在DCServer上安装企业CA,为Research服务器办法证书。

实战:使用终端服务网关访问终端服务_用户

1.1.1 任务:安装企业CA

这个任务为配置TS网关做准备,因为TS网关配置SSl需要数字证书,安装一个企业CA为域中的用户和计算机办法数字证书。

步骤:

1. 以域管理员的身份登录到DCServer,打开服务器管理器,点击“添加角色”。

2. 在开始之前对话框,点击“下一步”。

实战:使用终端服务网关访问终端服务_的_02

实战:使用终端服务网关访问终端服务_用户_03

3. 在选中服务器角色对话框,选中“Active Directory证书服务”点击“下一步”。

4. 在Active Directory证书服务对话框,点击“下一步”。

实战:使用终端服务网关访问终端服务_用户_04实战:使用终端服务网关访问终端服务_的_05

5. 在选择角色服务对话框,选中“证书颁发机构”、“证书颁发机构Web注册”和“联机响应程序”,在出现的添加角色向导对话框,点击“添加必须的角色服务”,点击“下一步”。

6. 在指定安装类型对话框,选择“企业”,点击“下一步”。

实战:使用终端服务网关访问终端服务_服务_06

实战:使用终端服务网关访问终端服务_Workgroup_07

7. 在指定CA类型对话框,选中“根”,点击“下一步”。

8. 在设置私钥对话框,选中“新建私钥”,点击“下一步”。

实战:使用终端服务网关访问终端服务_Internet_08

实战:使用终端服务网关访问终端服务_Workgroup_09

9. 在为CA配置加密,点击“下一步”。

10. 在配置CA名称对话框,保持默认的名称,点击“下一步”。

实战:使用终端服务网关访问终端服务_Internet_10

实战:使用终端服务网关访问终端服务_用户_11

 

11. 在设置有效期对话框,点击“下一步”。

12. 在配置证书数据库对话框,点击“下一步”。

实战:使用终端服务网关访问终端服务_的_12

实战:使用终端服务网关访问终端服务_Internet_13

13. 在Web服务器对话框,点击“下一步”。

14. 在选择服务角色对话框,点击“下一步”。

实战:使用终端服务网关访问终端服务_服务_14

实战:使用终端服务网关访问终端服务_的_15

15. 在确认安装选择对话框,点击“安装”。

实战:使用终端服务网关访问终端服务_服务_16

1.1.2 任务:在Research上安装TS网关

步骤:

16. 以域管理员登录到Research。

17. 打开服务器管理器,点击“添加角色”

实战:使用终端服务网关访问终端服务_用户_17

实战:使用终端服务网关访问终端服务_用户_18

实战:使用终端服务网关访问终端服务_用户_19

实战:使用终端服务网关访问终端服务_的_20

实战:使用终端服务网关访问终端服务_用户_21

实战:使用终端服务网关访问终端服务_用户_22

实战:使用终端服务网关访问终端服务_的_23

实战:使用终端服务网关访问终端服务_Internet_24

实战:使用终端服务网关访问终端服务_Workgroup_25

实战:使用终端服务网关访问终端服务_的_26

实战:使用终端服务网关访问终端服务_Workgroup_27

实战:使用终端服务网关访问终端服务_Internet_28

1.1.3 任务:配置TS 网关证书

申请服务器证书,并配置TS网关使用该证书。

步骤:

18. 点击“开始”à“运行”,输入gpupdate /force 点击“确定”,刷新组策略。因为是刚刚安装的企业CA,域中的计算机必须刷新组策略才能发现域中的CA。

19. 点击“开始”à“运行”,输入mmc,点击“确定”。

20. 在打开的控制台,点击“文件”à“添加/删除管理单元”。

21. 再出现的田间或删除管理单元对话框,选中“证书”,点击“添加”。

实战:使用终端服务网关访问终端服务_Workgroup_29

实战:使用终端服务网关访问终端服务_的_30

22. 在证书管理单元,选择“计算机帐户”,点击“下一步”。

23. 在选择计算机对话框,选择“本地计算机”,点击“完成”。

实战:使用终端服务网关访问终端服务_Workgroup_31

实战:使用终端服务网关访问终端服务_用户_32

24. 如下图,右击“个人”,点击“所有任务”à“申请新证书”。

25. 在开始之前对话框,点击“下一步”。

实战:使用终端服务网关访问终端服务_Internet_33实战:使用终端服务网关访问终端服务_Workgroup_34

26. 在证书选择对话框,选中“计算机”,点击“注册”。

27. 在证书安装结果对话框,点击“完成”。

实战:使用终端服务网关访问终端服务_用户_35

实战:使用终端服务网关访问终端服务_Internet_36

28. 如图,点击“个人”à“证书”,可以看到刚才申请的证书,双击该证书,在证书路径标签,可以看到是企业CA颁发的证书。

29. 点击“开始”à“程序”à“管理工具”à“终端服务”à“TS网关管理”。

30. 如下图,在打开的TS网关管理对话框,点击“查看或×××属性”。

实战:使用终端服务网关访问终端服务_Workgroup_37实战:使用终端服务网关访问终端服务_Internet_38

31. 在Research属性对话框的SSL证书标签下,点击“浏览证书”。

32. 在出现的安装证书对话框,选中刚才申请的证书,点击“安装证书”。

实战:使用终端服务网关访问终端服务_Workgroup_39

实战:使用终端服务网关访问终端服务_服务_40

1.1.4 任务:创建访问策略

了解 TS 网关的授权策略

安装了 TS 网关 角色服务并为该 TS 网关 服务器配置了证书之后,必须创建终端服务连接授权策略 (TS CAP)、计算机组和终端服务资源授权策略 (TS RAP)。

本主题描述了 TS CAP、计算机组和 TS RAP 如何使您可以控制远程用户通过 TS 网关 从 Internet 连接到内部网络时,对内部网络资源(计算机)的访问。

TS CAP

通过 TS CAP,可以指定可连接到 TS 网关 服务器的用户。可以指定存在于本地 TS 网关 服务器上或 Active Directory 域服务中的用户组。还可以指定用户要访问 TS 网关 服务器必须满足的其他条件。可以在每个 TS CAP 中列出特定的条件。例如,您可能要求一组用户使用智能卡来通过 TS 网关 建立连接。

要点

如果用户满足 TS CAP 中指定的条件,将被授予访问 TS 网关 服务器的权限。必须还要创建终端服务资源授权策略 (TS RAP)。通过 TS RAP,可以指定用户可通过 TS 网关 连接到的网络资源(计算机)。在创建 TS CAP 和 TS RAP 之前,用户无法通过此 TS 网关 服务器连接到网络资源。

TS RAP

通过 TS RAP,可以指定远程用户可通过 TS 网关 服务器连接到的内部网络资源。在创建 TS RAP 时,可以创建计算机组(内部网络上希望远程用户连接到的一组计算机)并将其与 TS RAP 关联。

如果通过 TS 网关 服务器连接到内部网络的远程用户至少满足一个 TS CAP 和一个 TS RAP 中指定的条件,将被授予访问网络上的计算机的权限。

注意

将 TS 网关 管理的计算机组与 TS RAP 关联时,可以通过将完全限定的域名 (FQDN) 和 NetBIOS 名称分别添加到受 TS 网关 管理的计算机组中,同时支持这两个名称。将 Active Directory 安全组与 TS RAP 关联时,如果客户端要连接到的内部网络计算机与 TS 网关 服务器属于同一个域,将自动支持 FQDN 和 NetBIOS 名称。如果内部网络计算机与 TS 网关 服务器分别属于不同的域,用户必须指定内部网络计算机的 FQDN。

TS CAP 和 TS RAP 相结合,提供两个不同的授权级别,使您可以为内部网络上的计算机配置更具体的访问控制级别。

示例:在终端服务网关创建终端服务连接授权策略 (TS CAP)、计算机组和终端服务资源授权策略 (TS RAP)

步骤:

33. 以域管理员登录登录到Research,点击“开始”à“程序”à“管理工具”à“终端服务”à“TS 网关管理器”。

34. 如图右击“连接授权策略”à“新建策略”。

35. 在出现的为TS网关创建授权策略对话框,选中“创建TS CAP和TS RAP”,点击“下一步”。

实战:使用终端服务网关访问终端服务_服务_41

实战:使用终端服务网关访问终端服务_用户_42

 

 

36. 在出现的为TS网关创建TS CAP对话框,输入名称,点击“下一步”。

37. 在出现的对话框,在用户组成员身份,点击“添加组”,输入Domain Admins,点击“下一步”。

实战:使用终端服务网关访问终端服务_Workgroup_43

实战:使用终端服务网关访问终端服务_用户_44

38. 在出现的对话框,选择“启用所有客户端设备的设备重定向”,点击“下一步”。

39. 在出现的对话框,确认设置,点击“下一步”。

实战:使用终端服务网关访问终端服务_用户_45

实战:使用终端服务网关访问终端服务_服务_46

 

40. 在出现的对话框,输入授权名称,点击“下一步”。

41. 在出现的对话框,用户组成人身份,确认有Ess\domain admins,点击“下一步”。

实战:使用终端服务网关访问终端服务_Internet_47

实战:使用终端服务网关访问终端服务_Internet_48

42. 在出现的对话框,点击浏览,输入Domain Comupters,点击“下一步”。

43. 在出现的对话框,选中“允许使用以下端口连接”,输入3389;4000点击“下一步”。

实战:使用终端服务网关访问终端服务_的_49

实战:使用终端服务网关访问终端服务_的_50

44. 在出现的设置摘要对话框,点击“完成”。

实战:使用终端服务网关访问终端服务_Internet_51

1.1.5 任务:使用TS网关连接到FileServer

在WorkgroupServer上,您需要下载企业CA的证书,信任证书颁发机构。在配置终端服务客户端使用TS网关Research服务器连接到企业内部网的终端服务器FileServer。

步骤:

45. 打开IE浏览器,输入http://dcserver.ess.com/certsrv,输入账号和密码,点击“确定”。

46. 点击“下载CA证书、证书链或CRL”,在出现的Web页面上,点击“下载CA证书”,点击“保存”。

实战:使用终端服务网关访问终端服务_用户_52

实战:使用终端服务网关访问终端服务_服务_53

47. 右击桌面上IE浏览器,点击“属性”,在IE属性对话框的内容标签下,点击“证书”。

48. 在证书对话框的受信任的根证书颁发机构标签下,点击“导入”,将刚才下载的CA证书导入。

实战:使用终端服务网关访问终端服务_服务_54

实战:使用终端服务网关访问终端服务_Workgroup_55

49. 在出现的安全性警告对话框,点击“是”,完成导入。现在当前用户就信任该证书颁发机构了。

50. 点击“开始”à“运行”,输入“mstsc”,打开终端服务客户端,点击“选项”,在计算机处输入“fileserver.ess.com”。

实战:使用终端服务网关访问终端服务_的_56

实战:使用终端服务网关访问终端服务_Workgroup_57

51. 在高级标签下,点击“设置”。

52. 在TS 网关服务器设置对话框,选择“使用这些TS网关服务器设置”,输入TS网关服务器名称,选中“将我的TS网关凭据适用于远程计算机”,点击“确定”。

实战:使用终端服务网关访问终端服务_Workgroup_58

实战:使用终端服务网关访问终端服务_服务_59

53. 在出现的Windows安全对话框,输入域管理员账号和密码,点击“确定”。

54. 可以看到能够使用终端服务网关Research连接到终端服务器FileServer。

实战:使用终端服务网关访问终端服务_Workgroup_60

实战:使用终端服务网关访问终端服务_Workgroup_61

55. 在命令行状态下输入netstat –n可以看到和终端服务网关建立的会话使用的是TCP的443端口。

56. 在FileServer上可以看到终端服务器是使用TCP的3389端口和终端服务网关建立的会话。

实战:使用终端服务网关访问终端服务_Internet_62

实战:使用终端服务网关访问终端服务_Workgroup_63

57. 在终端服务器网关Research计算机上,打开TS网关管理器,点击“监视”,可以看到连接到内网的终端服务会话。

实战:使用终端服务网关访问终端服务_的_64

如图使用TS网关访问DCServer.ess.com,提示不满足资源访问策略,因为资源访问策略只允许访问Domain Comupters,而域控制器不属于这个组。

实战:使用终端服务网关访问终端服务_Workgroup_65

1.1.6 任务:使用TS网关连接到Windows Server Core远程桌面

在WorkgroupServer,打开终端服务客户端,配置使用终端服务网关,输入profileServer.ess.com,点击“连接”,输入域管理员账号和密码,点击“确定”。

如图出现Windows Server Core的桌面,输入Logoff,注销。

实战:使用终端服务网关访问终端服务_的_66

实战:使用终端服务网关访问终端服务_服务_67